⾯试题:给我说⼀下你项⽬中的单点登录是如何实现的?
⼀、单系统登录机制
1、http⽆状态协议
web应⽤采⽤browser/server架构,http作为通信协议。http是⽆状态协议,浏览器的每⼀次请求,服务器会独⽴处理,不与之前或之后的请求产⽣关联,这个过程⽤下图说明,三次请求/响应对之间没有任何联系。
但这也同时意味着,任何⽤户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请求,响应合法请求,忽略⾮法请求;要鉴别浏览器请求,必须清楚浏览器请求状态。既然http协议⽆状态,那就让服务器和浏览器共同维护⼀个状态吧!这就是会话机制。
2、会话机制
浏览器第⼀次请求服务器,服务器创建⼀个会话,并将会话的id作为响应的⼀部分发送给浏览器,浏览器存储会话id,并在后续第⼆次和第三次请求中带上会话id,服务器取得请求中的会话id就知道是不是同⼀个⽤户了,这个过程⽤下图说明,后续请求与第⼀次请求产⽣了关联。
服务器在内存中保存会话对象,浏览器怎么保存会话id呢?你可能会想到两种⽅式。
1. 请求参数
2. cookie
将会话id作为每⼀个请求的参数,服务器接收请求⾃然能解析参数获得会话id,并借此判断是否来⾃同⼀会话,很明显,这种⽅式不靠谱。那就浏览器⾃⼰来维护这个会话id吧,每次发送http请求时浏览器⾃动发送会话id,cookie机制正好⽤来做这件事。cookie是浏览器⽤来存储少量数据的⼀种机制,数据以”key/value“形式存储,浏览器发送http请求时⾃动附带cookie信息。
tomcat会话机制当然也实现了cookie,访问tomcat服务器时,浏览器中可以看到⼀个名为“JSESSIONID”的cookie,这就是tomcat会话机制维护的会话id,使⽤了cookie的请求响应过程如下图。
3、登录状态
有了会话机制,登录状态就好明⽩了,我们假设浏览器第⼀次请求服务器需要输⼊⽤户名与密码验证⾝份,服务器拿到⽤户名密码去数据库⽐对,正确的话说明当前持有这个会话的⽤户是合法⽤户,应该将这个会话标记为“已授权”或者“已登录”等等之类的状态,既然是会话的状态,⾃然要保存在会话对象中,tomcat在会话对象中设置登录状态如下。
HttpSession session = Session();
session.setAttribute("isLogin", true);
⽤户再次访问时,tomcat在会话对象中查看登录状态
HttpSession session = Session();
实现了登录状态的浏览器请求服务器模型如下图描述。
每次请求受保护资源时都会检查会话对象中的登录状态,只有 isLogin=true 的会话才能访问,登录机制因此⽽实现。
⼆、多系统的复杂性
web系统早已从久远的单系统发展成为如今由多系统组成的应⽤,⾯对如此众多的系统,⽤户难道要⼀个⼀个登录、然后⼀个⼀个注销吗?就像下图描述的这样。
web系统由单系统发展成多系统组成的应⽤,复杂性应该由系统内部承担,⽽不是⽤户。⽆论web系
统内部多么复杂,对⽤户⽽⾔,都是⼀个统⼀的整体,也就是说,⽤户访问web系统的整个应⽤与访问单个系统⼀样,登录/注销只要⼀次就够了。
虽然单系统的登录解决⽅案很完美,但对于多系统应⽤已经不再适⽤了,为什么呢?
单系统登录解决⽅案的核⼼是cookie,cookie携带会话id在浏览器与服务器之间维护会话状态。但cookie是有限制的,这个限制就是cookie的域(通常对应⽹站的域名),浏览器发送http请求时会⾃动携带与
该域匹配的cookie,⽽不是所有cookie。
既然这样,为什么不将web应⽤中所有⼦系统的域名统⼀在⼀个顶级域名下,例如“*.baidu”,然后将它们的cookie域设置
为“baidu”,这种做法理论上是可以的,甚⾄早期很多多系统登录就采⽤这种同域名共享cookie的⽅式。
然⽽,可⾏并不代表好,共享cookie的⽅式存在众多局限。⾸先,应⽤域名得统⼀;其次,应⽤各
系统使⽤的技术(⾄少是web服务器)要相同,不然cookie的key值(tomcat为JSESSIONID)不同,⽆法维持会话,共享cookie的⽅式是⽆法实现跨语⾔技术平台登录的,⽐如java、php、系统之间;第三,cookie本⾝不安全。
因此,我们需要⼀种全新的登录⽅式来实现多系统应⽤的登录,这就是单点登录。
三、单点登录
什么是单点登录?单点登录全称Single Sign On(以下简称SSO),是指在多系统应⽤中登录⼀个系统,便可在其他所有系统中得到授权⽽⽆需再次登录,包括单点登录与单点注销两部分。
1、登录
相⽐于单系统登录,sso需要⼀个独⽴的认证中⼼,只有认证中⼼能接受⽤户的⽤户名密码等安全信息,其他系统不提供登录⼊⼝,只接受认证中⼼的间接授权。间接授权通过令牌实现,sso认证中⼼验证⽤户的⽤户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各个⼦系统,⼦系统拿到令牌,即得到了授权,可以借此创建局部会话,局部会话登录⽅式与单系统的登录⽅式相同。这个过程,也就是单点登录的原理,⽤下图说明。
下⾯对上图简要描述。
1. ⽤户访问系统1的受保护资源,系统1发现⽤户未登录,跳转⾄sso认证中⼼,并将⾃⼰的地址作为参数;
2. sso认证中⼼发现⽤户未登录,将⽤户引导⾄登录页⾯;
session怎么记忆
3. ⽤户输⼊⽤户名密码提交登录申请;
4. sso认证中⼼校验⽤户信息,创建⽤户与sso认证中⼼之间的会话,称为全局会话,同时创建授权令牌;
5. sso认证中⼼带着令牌跳转会最初的请求地址(系统1);
6. 系统1拿到令牌,去sso认证中⼼校验令牌是否有效;
7. sso认证中⼼校验令牌,返回有效,注册系统1;
8. 系统1使⽤该令牌创建与⽤户的会话,称为局部会话,返回受保护资源;
9. ⽤户访问系统2的受保护资源;
0. 系统2发现⽤户未登录,跳转⾄sso认证中⼼,并将⾃⼰的地址作为参数;

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。